Çin ile bağlantılı çeşitli tehdit aktörleri, React ve Next.js’i etkileyen React2Shell açığını (CVE-2025-55182) açıklandıktan sadece birkaç saat sonra istismar etmeye başladı. Bu durum, güvenlik alanında önemli bir uyarı olarak öne çıkmaktadır.
React2Shell Açığının Özellikleri
React2Shell, React Server Components (RSC) ‘Flight’ protokolünde bulunan bir güvensiz seri hale getirme açığıdır. Bu açığı kullanmak, kimlik doğrulaması gerektirmediği için oldukça kolaydır ve sunucu ortamında JavaScript kodunun uzaktan çalıştırılmasına olanak tanır. Next.js çerçevesi için tanımlayıcı olan CVE-2025-66478 ise, ulusal güvenlik açığı veritabanında CVE-2025-55182 ile benzer olduğu gerekçesiyle reddedilmiştir.
Açığın etkisi oldukça geniştir ve birçok sürümü etkilemektedir. Wiz araştırmacılarının belirttiğine göre, izledikleri bulut ortamlarının %39’u React2Shell saldırılarına duyarlıdır. React ve Next.js, bu güvenlik açığına karşı güncellemeler yayımlamış olmasına rağmen, sorun varsayılan yapılandırmada kolayca kullanılabilir durumdadır.
React2Shell Saldırıları Başlıyor
Amazon Web Services (AWS) tarafından yapılan bir rapor, Çin ile bağlantılı Earth Lamia ve Jackpot Panda adlı tehdit aktörlerinin, React2Shell açığını kamuya açıklanır açıklanmaz istismar etmeye başladığını ortaya koymaktadır. AWS’nin tehdit istihbarat ekipleri, 3 Aralık 2025’te CVE-2025-55182’nin halkla paylaşılmasıyla birlikte bu aktörlerin aktif istismar girişimlerini gözlemlediklerini bildirdi.
AWS’nin honeypotları, tanınmayan gruplardan gelen ve Çin tabanlı altyapılardan kaynaklanan bazı etkinlikleri de kaydetmiştir. Saldırı gruplarının birçokları, aynı anonimleşme altyapısını paylaştığından, bireysel izleme ve özel atıf yapmak oldukça zorlaşmaktadır.
Earth Lamia’nın genellikle web uygulama güvenlik açıklarını istismar etmeye odaklandığı gözlemlenirken, Jackpot Panda’nın hedefleri genellikle Doğu ve Güneydoğu Asya’dadır. Bu gruplar, finans, lojistik, perakende, üniversiteler ve devlet sektörlerini hedef almaktadır.
Geçerli Kanıtlar ve Public Exploits
React2Shell’i keşfeden ve raporlayan Lachlan Davidson, çevrimiçi dolaşan sahte istismarlar konusunda uyarıda bulundu. Ancak, Rapid7 araştırmacısı Stephen Fewer ve Elastic Security uzmanı Joe Desimone tarafından doğrulanan geçerli istismarlar, GitHub üzerinde yayımlanmıştır. AWS gözlemlerinde, birden fazla hedefe yönelik otomasyon yerine, aktörlerin canlı hedefler üzerinde dikkatlice hata ayıklama ve istismar tekniklerini geliştirme çabaları açıkça görülebilmektedir.
WS’nin gözlemleri arasında, Linux komutlarının çalıştırılması (ör. whoami, id), dosya oluşturma girişimleri (/tmp/pwned.txt) ve ‘/etc/passwd/‘ dosyasını okuma girişimleri yer almaktadır.
Ayrıca, Attack surface management (ASM) platformu Assetnote, React2Shell’e karşı bir tarayıcı yayımlamıştır. Bu araç, çevrelerin React2Shell’a karşı ne kadar duyarlı olduğunu belirlemek için kullanılabilir.
Bu tür bir açığın kötüye kullanım olasılığı, özellikle bulut ortamlarının yaygın kullanımıyla birlikte oldukça yüksek. Sonuç olarak, yazılım geliştiricilerin ve güvenlik uzmanlarının bu tür güvenlik sorunlarını göz önünde bulundurarak hazırlıklı olmaları kritik önem taşıyor.
